向我國境內網站植入後門最多的國家竟是它？

文章開頭先列幾個問題：

自己人搞自己人，境內傳播和中招最多的分別是哪個省？

「曝洞一時爽，一直曝洞一直爽」，你覺得去年「洞主」是哪位？（不是搞事情，真不是）

「雷鋒網」VS「雷峰網」？仿冒頁面IP地址歸屬主要分布在哪國？

境外向我國境內網站植入後門IP地址所屬國家TOP10？

境內被篡改網頁的頂級域名前三位？

互聯網金融網站/APP什麼類型洞最多？

當然回答這幾個問題不是為了虐你，而是為了讓你往下找答案。

（一）計算機惡意程序捕獲情況

2018年，CNCERT全年捕獲計算機惡意程序樣本數量超過1億個，涉及計算機惡意程序家族51萬餘個，較2017年增加8132個。全年計算機惡意程序傳播次數日均達500萬餘次。按照計算機惡意程序傳播來源統計，位於境外的主要是來自美國、加拿大和俄羅斯等國家和地區。位於境內的主要是位於陝西省、浙江省和河南省等省份。按照受惡意程序攻擊的IP統計，我國境內受計算機惡意程序攻擊的IP地址約5946萬個，約佔我國IP總數的17.5%，這些受攻擊的IP地址主要集中在江蘇省、山東省、浙江省、廣東省等地區。

【2018年計算機惡意代碼傳播源位於境外分布情況】

【2018年我國受計算機惡意代碼攻擊的IP分布情況】

（二）計算機惡意程序用戶感染情況

2018年，我國境內感染計算機惡意程序的主機數量約655萬台，同比下降47.8%。位於境外的約4.9萬個計算機惡意程序控制伺服器控制了我國境內約526萬台主機，就控制伺服器所屬國家來看，位於美國、日本和德國的控制伺服器數量分列前三位，分別是約14752個、6551個和2166個；就所控制我國境內主機數量來看，位於美國、中國香港和法國的控制伺服器控制規模分列前三位，分別控制了我國境內約334萬、48萬和33萬台主機。

【境內感染計算機惡意程序主機數量變化】

我國境內感染計算機惡意程序主機數量地區分布來看，主要分布在廣東省（占我國境內感染數量的10.9%）、江蘇省（佔9.9%）、浙江省（佔9.4%）等省份，但從我國境內各地區感染計算機惡意程序主機數量所佔本地區活躍IP地址數量比例來看，河南省、江蘇省和廣西壯族自治區分列前三位。在監測發現的因感染計算機惡意程序而形成的殭屍網路中，規模在100台主機以上的殭屍網路數量達3710個，規模在10萬台以上的殭屍網路數量達36個。

【我國各地區感染計算機惡意程序主機數量占本地區活躍IP地址數量比例】

（三）移動互聯網惡意程序

目前，隨著移動互聯網技術快速發展，我國移動互聯網網民數量突破8.17億（占我國網民總數量的98.6%），金融服務、生活服務、支付業務等全面向移動互聯網應用遷移。但竊取用戶信息、發送垃圾信息、推送廣告和欺詐信息等危害移動互聯網正常運行的惡意行為在不斷侵犯廣大移動用戶的合法利益。

2018年，CNCERT通過自主捕獲和廠商交換獲得移動互聯網惡意程序數量283萬餘個，同比增長11.7%，儘管近三年來增長速度有所放緩，但仍保持高速增長趨勢。

【2010年至2018年移動互聯網惡意程序捕獲數量走勢】

通過對惡意程序的惡意行為統計發現，排名前三的分別為流氓行為類、資費消耗類和信息竊取類 ，佔比分別為45.8%、24.3%和14.9%。

【2018年移動互聯網惡意程序數量按行為屬性統計】

（四）聯網智能設備惡意程序

目前活躍在智能聯網設備上的惡意程序家族主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori、StolenBots、VPN-Filter等。

這些惡意程序及其變種產生的主要危害包括用戶信息和設備數據泄露、硬體設備遭控制和破壞、被用於DDoS攻擊或其他惡意攻擊行為、攻擊路由器等網路設備竊取用戶上網數據等。

通過抽樣監測發現，2018年，聯網智能設備惡意程序控制伺服器IP地址約2.3萬個，位於境外的IP地址佔比約87.5%；被控聯網智能設備IP地址約446.8萬個，位於境內的IP地址佔比約34.6%，其中山東、浙江、河南、江蘇等地被控聯網智能設備IP地址數量均超過10萬個；控制聯網智能設備且控制規模在1000台以上的殭屍網路有363個，其中，控制規模在1萬台以上的殭屍網路19個，5萬台以上的8個。

【2018年聯網智能設備殭屍網路控制規模統計情況】

（一）安全漏洞收錄情況

2014年以來，國家信息安全漏洞共享平台（CNVD） 收錄安全漏洞數量年平均增長率為15.0%，其中，2018年收錄安全漏洞數量同比減少了11.0%，共計14201個，高危漏洞收錄數量為4898個（佔34.5%），同比減少12.8%，但近年來「零日」漏洞 收錄數量持續走高，2018年收錄的安全漏洞數量中，「零日」漏洞收錄數量佔比37.9%，高達5381個，同比增長39.6%。

【2013年至2018年CNVD收錄安全漏洞數量對比】

安全漏洞主要涵蓋Google、Microsoft、IBM、Oracle、Cisco、Foxit、Apple、Adobe等廠商產品。

【2018年CNVD收錄漏洞涉及廠商情況統計】

按影響對象分類統計，收錄漏洞中應用程序漏洞佔57.8%，Web應用漏洞佔18.7%，操作系統漏洞佔10.6%，網路設備（如路由器、交換機等）漏洞佔9.5%，安全產品（如防火牆、入侵檢測系統等）漏洞佔2.4%，資料庫漏洞佔1.0%。

【2018年CNVD收錄漏洞按影響對象類型分類統計】

（二）聯網智能設備安全漏洞

2018年，CNVD收錄的安全漏洞中關於聯網智能設備安全漏洞有2244個，同比增長8.0%。這些安全漏洞涉及的類型主要包括設備信息泄露、許可權繞過、遠程代碼執行、弱口令等；涉及的設備類型主要包括家用路由器、網路攝像頭等。

（一）攻擊資源情況

通過對全年用於發起DDoS攻擊的攻擊資源進行持續分析，CNCERT發現用於發起DDoS攻擊的C&C控制伺服器數量共2108台，總肉雞數量約144萬台，反射攻擊伺服器約197萬台，受攻擊目標IP地址數量約9萬個，這些攻擊目標主要分布在色情、博彩等互聯網地下黑產方面以及文化體育和娛樂領域，此外還包括運營商IDC、金融、教育、政府機構等。

（二）攻擊團伙情況

2018年共監測發現利用殭屍網路進行攻擊的DDoS攻擊團伙50個。從全年來看，與DDoS攻擊事件數量、C&C控制伺服器數量一樣，攻擊團伙數量在2018年8月達到最高峰。其中，控制肉雞數量較大的較活躍攻擊團伙有16個，涉及C&C控制伺服器有358個，攻擊目標有2.8萬個。進一步分析這16個團伙的關係情況，發現不同攻擊團伙之間相互較為獨立，同一攻擊團伙的攻擊目標非常集中，不同攻擊團伙間的攻擊目標重合度較小。

【2018年活躍攻擊團伙基本信息表】

絕大多數網站攻擊行為由少量的活躍攻擊資源發起，根據這些攻擊資源之間的關聯關係，可將其劃分為不同的「攻擊團伙」所掌握。這些「攻擊團伙」不斷更換其掌握的大量攻擊資源，長期攻擊並控制著大量安全防護能力薄弱的網站。

（一）網頁仿冒

經監測，去年約5.3萬個針對我國境內網站的仿冒頁面，頁面數量較2017年增長了7.2%。其中，仿冒政務類網站數量明顯上升，佔比高達25.2%，經分析，這些仿冒頁面主要被用於短期內提高其域名的搜索引擎排名，從而快速轉化為經濟利益。從承載仿冒頁面IP地址歸屬情況來看，絕大多數位於境外，主要分布在美國和中國香港。

【2018年承載仿冒頁面IP地址和仿冒頁面數量分布】

（二）網站後門

1. 我國境內被植入後門情況

過去一年，約1.6萬個IP地址對我國境內約2.4萬個網站植入後門。近三年來，我國境內被植入後門的網站數量持續保持下降趨勢，2018年的數量較2017年下降了19.3%。其中，約有1.4萬個（佔全部IP地址總數的90.9%）境外IP地址對境內約1.7萬個網站植入後門，位於美國的IP地址最多，占境外IP地址總數的23.2%，其次是位於中國香港和俄羅斯的IP地址。從控制我國境內網站總數來看，位於中國香港的IP地址控制我國境內網站數量最多，有3994個，其次是位於美國和俄羅斯的IP地址，分別控制了我國境內3607個和2011個網站。

【2018年境外向我國境內網站植入後門IP地址所屬國家或地區TOP10】

2. 網站後門「攻擊團伙」情況

數據顯示，攻擊活躍在 10 天以上的網站「攻擊團伙」有 777 個，全年活躍的「攻擊團伙」13 個，如圖所示。「攻擊團伙」中使用過的攻擊 IP地址數量大於 100個 的有 22 個，攻擊網站數量超過 100 個的「攻擊團伙」有 61 個。

從「攻擊團伙」的攻擊活躍天數來看，少數攻擊團伙能夠保持持續活躍。多數「攻擊團伙」的活躍天數較短，無法形成對被入侵網站伺服器的持久化控制；少量值得關注的「攻擊團伙」具有長時間持續攻擊的特點，持續對其入侵的多個網站伺服器實現長期控制。

【不同活躍天數的「攻擊團伙」數量統計】

（三）網頁篡改

經監測，去年我國境內遭篡改的網站有7049個，較2017年的約2萬個有大幅的下降，下降了64.9%，其中被篡改的政府網站有216個，較2017年的618個減少65.0%。從網頁遭篡改的方式來看，被植入暗鏈的網站佔全部被篡改網站的比例為56.9%，佔比呈現持續縮小趨勢。從境內被篡改網頁的頂級域名分布來看，「.com」、「.net」和「.gov.cn」佔比分列前三位，分別佔總數的66.3%、7.7%和3.1%，佔比分布情況與2017年無明顯變化。

【2013年至2018年我國境內被篡改網站數量情況】

（一）工業網路產品安全檢測情況

通過對主流工控設備和網路安全專用產品進行了安全入網抽檢，並對電力二次設備進行專項安全測試。在所涉及35個國內外主流廠商的87個型號產品中共發現232個高危漏洞，可能產生的風險包括拒絕服務攻擊、遠程命令執行、信息泄露等。

利用這些漏洞，攻擊者可使工控設備宕機，甚至獲取設備控制許可權，可能對其他工業網路設備發起攻擊。進一步分析發現，在電力設備測試中部分漏洞呈現同源性特徵，經分析因大多數電力設備廠商在實現IEC 61850協議（電力系統最重要的通信協議之一）時都採用了美國SISCO公司的第三方開發套件，顯示了較嚴重的產品供應鏈安全風險。

【2018年工業網路產品安全檢測中發現的高危漏洞類型分布】

（二）聯網工業設備和工業雲平台暴露情況

監測發現去年境外對我國暴露工業資產的惡意嗅探事件約4451萬起，較2017年數量暴增約17倍。我國境內暴露的聯網工業設備數量共計6020個，涉及西門子、韋益可自控、羅克韋爾等37家國內外知名廠商產品，這些聯網設備的廠商、型號、版本、參數等信息遭惡意嗅探。

【2018年發現的聯網工業設備廠商分布情況】

據了解，目前我國具有一定規模的工業雲平台有30多家，業務涉及能源、金融、物流、智能製造、智慧城市等方面，並監測發現根雲、航天雲網、COSMOPlat、OneNET、OceanConnect等大型工業雲平台持續遭受漏洞利用、拒絕服務、暴力破解等網路攻擊，工業雲平台正逐漸成為網路攻擊的重點目標。

（三）重點行業遠程巡檢情況

電力、石化等重點行業的生產監控管理系統因存在網路配置疏漏等問題，可能會直接暴露在互聯網上，一旦遭受網路攻擊，影響巨大。數據顯示，電力、城市公用工程和石油天然氣三個行業的聯網監控管理系統均存在高危漏洞隱患，各自占監控管理系統的比例為10%、28%和35%，且部分暴露的監控管理系統存在遭境外惡意嗅探、網路攻擊的情況。

六、互聯網金融安全

（一）互聯網金融網站安全情況

隨著互聯網金融行業的發展，互聯網金融平台運營者的網路安全意識有所提升，互聯網金融平台的網路安全防護能力有所加強，特別是規模較大的平台，但仍有部分平台安全防護能力不足，安全隱患較多，

2018年，CNCERT發現互聯網金融網站的高危漏洞1700個，其中XSS跨站腳本類型漏洞佔比最多有782個（佔比46.0%）；其次是SQL注入漏洞476個（佔比28.0%）和遠程代碼執行漏洞85個（佔比5.0%）。

【互聯網金融網站高危漏洞分布情況】

（二）互聯網金融APP安全情況

在移動互聯網技術發展和應用普及的背景下，用戶通過互聯網金融APP進行投融資的活動愈加頻繁，絕大多數的互聯網金融平台通過移動APP開展業務，且有部分平台僅通過移動APP開展業務。經對430個互聯網金融APP進行檢測，發現安全漏洞1005個，其中高危漏洞240個，明文數據傳輸漏洞數量最多有50個(占高危漏洞數量的20.8%)，其次是網頁視圖（Webview）明文存儲密碼漏洞有48個（佔20.0%）和源代碼反編譯漏洞有31個（佔12.9%）。這些安全漏洞可能威脅交易授權和數據保護，存在數據泄露風險，其中部分安全漏洞影響應用程序的文件保護，不能有效阻止應用程序被逆向或者反編譯，進而使應用暴露出多種安全風險。

【互聯網金融移動APP高危漏洞分布情況】

（三）區塊鏈系統安全情況

伴隨互聯網金融的發展，攻擊者攻擊互聯網金融平台牟利的手段不斷升級，並融合了金融業務特徵，出現「互聯網+金融」式攻擊，尤其是在區塊鏈數字貨幣等業務領域表現得更為明顯。首先，區塊鏈系統往往自帶金融屬性，直接運行數字貨幣等資產；其次，區塊鏈相關代碼多為開源，容易暴露風險；第三，區塊鏈系統在對等網路環境中運行，網路中的節點防護能力有限；第四，用戶自行保管私鑰，一旦丟失或盜取無法找回；第五，相關業務平台發展時間短，系統安全防護經驗和手段不完善、全面性和強度不足。

報告來源《2018年我國互聯網網路安全態勢報告》，報告由CNCERT發布，雷鋒網編輯。

雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！